Алгоритм - Учебный центр

Версия сайта для слабовидящих
Заполните форму ниже! Мы вам перезвоним!

Нажав на кнопку "Отправить", Я даю своё согласие на автоматизированную обработку указанной информации, распространяющейся на осуществление всех действий с ней, включая сбор, передачу по сетям связи общего назначения, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение и обработку посредством внесения в электронную базу данных, систематизации, включения в списки и отчетные формы.


Комплексные решения защиты хранилищ данных.

Комплексные решения защиты

хранилищ данных.

Вопросы безопасности в вычислительных системах уже достаточно давно ставятся на одно из первых мест на всех этапах работы ИТ-служб предприятий и организаций. 

Устройства хранения информации поддерживают различные архитектуры корпоративных центров обработки и хранения данных, среди которых наиболее типичным решением на сегодняшний день является архитектура SAN (Storage Area Networks - выделенная сеть хранения), обеспечивающая совместный доступ к данным, независимый от локальной вычислительной сети. Разнообразные топологии сетей хранения данных замещают традиционные шинные соединения "сервер-устройство хранения" и предоставляют по сравнению с ними большую гибкость, производительность и надежность.

На инфраструктуру сети хранения частично ложится и решение вопроса безопасности в части разделения доступа (для защиты от случайной ошибки). Этот сервис позволяет изолировать группы пользователей либо один сервер от другого и выделять часть ресурсов системы хранения именно тому пользователю (серверу), которому это необходимо. Раньше изоляцию использовали для того, чтобы не распространять логические ошибки по всей сети: например, резервное копирование старались изолировать от доступа к данным. Сейчас это используется реже, но, тем не менее, рекомендуется.

В сложных корпоративных сетях стоит задача обеспечения возможности дифференцированно настраивать разнообразные аспекты безопасности сети - зонирование, аутентификацию, RBAC (Role Based Access Control - это новая модель разрешений в Microsoft Exchange Server 2010), шифрование трафика, VSAN. Безопасность сетей хранения данных относится к характеристикам процессов и решений, защищающих целостность и доступность данных, хранящихся в подобных сетях.

Существует четыре аспекта, относящихся к комплексному решению задачи обеспечения безопасности сети хранения данных: 
- надежное ролевое управление с централизованной идентификацией, авторизацией и регистрацией всех изменений;
- централизованная идентификация подключенных к сети устройств для обеспечения возможности подключения к сети только устройств, прошедших авторизацию;
- средства управления изоляцией трафика и управления доступом, которые гарантируют, что устройство, подключенное к сети, может надежно отправлять/принимать свои данные, и что оно защищено от действий других сетевых устройств;
- шифрование всех данных, исходящих из сети хранения данных для обеспечения непрерывности функционирования бизнеса, передачи большого объема данных в удаленное хранилище и резервирования.

Сеть хранения данных по аналогии с локальными вычислительными сетями строится на основе коммутаторов и адаптеров, устанавливаемых в серверы. С точки зрения защиты информации, используемой в сетях SAN, значительную роль может сыграть организация безопасности с использованием таких устройств, как сетевые коммутаторы. Примером могут служить решения компании Cisco, разработанные для сетей SAN, крупных вычислительных комплексов, центров обработки данных (ЦОД). Еще в конце 2008 года компания Cisco представила рынку стратегию развития центров обработки данных Data Center 3.0, в основе которой предлагались оригирнальные решения для ЦОД - серия продуктов Nexus 7000. Это была хорошо масштабируемая модульная платформа с емкостью коммутации до 15 Тбит/с на одном шасси, 512 портами 10 Gigabit Ethernet и поддержкой будущих технологий 40 и 100 Gbps Ethernet. Новая платформа коммутации для ЦОД работала под управлением ОС Cisco NX-OS (Nexus Operating System) вместе с системой сетевого управления Cisco Data Center Network Manager.

Nexus 7000 - первая платформа, поддерживающая объявленную еще в декабре 2007 года архитектуру Cisco Trusted Security (TrustSec), которая интегрирует функции идентификации и учета роли пользователя в интересах безопасности центров обработки данных. Cisco TrustSec обеспечивает доверенную сегментацию трафика без сложных моделей адресации и неуправляемых списков контроля доступа (ACL). В результате появляется возможность переноса виртуальной машины в рамках ЦОД без ущерба для целостности данных и с использованием технологии шифрования AES-128 на каждом порту Nexus 7000.

Помимо стандартного функционала командной строки, наличие интерфейсов настройки этих функций и мониторинга работоспособности интегрировано в графический интерфейс системы управления Cisco MDS Fabric Manager. Кроме того, при наличии лицензии на Fabric Manager Server это ПО дополнительно обеспечивает централизованное управление несколькими физическими фабриками, позволяет выполнять автоматическое отслеживание жизнеспособности СХД (health/event monitoring), предоставлять разнообразные отчеты по производительности, анализировать трафик, прогнозировать рост нагрузки на СХД и много прочего, что может значительно облегчить задачи администрирования в сложных гетерогенных сетях СХД.

Собственный механизм изоляции в коммутаторах сети хранения Cisco был реализован на уровне виртуальных сетей VSAN (Virtual Storage Areа Network). VSAN - механизм разделения единой фабрики SAN на множество логических (виртуальных) сетей. Принадлежность к VSAN определяется на уровне физического порта устройства. Каждый порт может находиться только в одном VSAN. В отличие от стандартного механизма зонирования, механизм VSAN был реализован при помощи, во-первых, полной изоляции трафика (весь трафик, включая широковещательные многопользовательские рассылки, заключен в границах отдельного VSAN), во-вторых - независимого функционирования сервисов SAN (каждый VSAN содержит свой собственный сервер имен, таблицу маршрутизации, настройки зон и проч.). Каждый сервис запущен как отдельный процесс в памяти коммутатора.

Изоляция посредством VSAN решает задачи безопасности, отказоустойчивости, гибкости настройки и масштабируемости в таких системах, как:
- сети операторов связи, предоставляющие услуги СХД различным клиентам; 
корпоративные СХД с множеством разнообразных систем, включая тестовые платформы, которые необходимо изолировать друг от друга; 
- сети, где необходимо обеспечить дифференцированные настройки безопасности и качества обслуживания (QoS) разным сегментам сети.

Наиболее полно механизмы VSAN были востребованы в крупных сетях, где применяются коммутаторы директорского класса с большим количеством портов. Именно в таких сетях наиболее остро стоит задача экономного использования ресурсов за счет технологий виртуализации и консолидации систем хранения данных, обеспечения отказоустойчивости и сегментированного управления сетью СХД.

В свое время на рынке оборудования для вычислительных систем, включая ЦОД, значительный сектор заняла компания Brocade. Коммутаторы для сетей хранения данных (SAN) компании Brocade (она приобрела ряд компаний, имеющих перспективные разработки оборудования и программного обеспечения для систем хранения данных, в том числе MCData, и выпускает некоторые ранее известные продукты под своей маркой) используются для объединения серверов и систем хранения данных, позволяя организациям эффективно осуществлять доступ и совместно использовать данные. Основой сетей SAN для решения критически важных задач являлись коммутаторы Brocade класса Director, позволяющие организациям осуществлять консолидированный и управляемый доступ к данным. Компания Brocade предлагает оборудование для трех ключевых сегментов рынка: сервис-провайдеров, центров обработки данных и корпоративных или кампусных сетей.


Лицензия